Сети

Настройка Mikrotik для UDP Port Knocking с Linux knockd

Пошаговая настройка Mikrotik для отправки UDP пакетов на Linux сервер с knockd. Автоматическое обновление iptables для динамических IP адресов.

1 ответ 1 просмотр

Как настроить Mikrotik для отправки UDP пакетов на определенный порт и реализации клиентской части port knocking? У меня есть Linux сервер с настроенным knockd, который модифицирует iptables, заменяя destination порт на другой для пакетов с определенным source IP. У меня несколько клиентов Mikrotik с динамическими IP адресами. Мне нужно настроить Mikrotik так, чтобы он мог автоматически обновлять iptables на Linux сервере, добавляя туда свои IP адреса. Я рассматриваю возможность использования OpenWrt, но этот вариант меня не устраивает.

Настройка Mikrotik для UDP port knocking с интеграцией Linux knockd позволяет реализовать безопасный удаленный доступ для клиентов с динамическими IP адресами без необходимости в OpenWrt. С помощью скриптов Mikrotik и scheduler можно автоматически отправлять UDP пакеты на определенный порт, обновляя правила iptables на сервере для разрешения доступа с текущего IP адреса клиента.

Содержание

Что такое Port Knocking и зачем он нужен на Mikrotik

Port knocking — это технология безопасности, которая позволяет открыть доступ к закрытым портам через отправку заранее определенной последовательности сетевых пакетов. В отличие от OpenWrt, Mikrotik RouterOS предоставляет все необходимые инструменты для реализации этой технологии без установки дополнительного ПО.

Для клиентов с динамическими IP адресами mikrotik port knocking становится идеальным решением, так как позволяет автоматически обновлять правила iptables на Linux сервере. Когда IP адрес клиента меняется, система автоматически добавляет новый IP в разрешенный список, обеспечивая постоянный доступ к сервисам.

Основное преимущество mikrotik firewall в этой схеме — возможность обработки динамических изменений и автоматического выполнения скриптов без необходимости перезагрузки устройства или сервера.

Архитектура решения: Mikrotik + Linux knockd + динамические IP

Архитектура mikrotik port knocking для динамических IP адресов состоит из трех основных компонентов:

  1. Mikrotik RouterOS — выступает в роли клиента, отправляющего UDP пакеты с определенной последовательностью портов
  2. Linux сервер с knockd — принимает UDP пакеты и модифицирует правила iptables
  3. iptables на Linux — хранилище разрешенных IP адресов, обновляемое автоматически

Работает эта система следующим образом: когда IP адрес Mikrotik меняется (например, при переподключении к интернету), mikrotik scheduler запускает скрипт, который отправляет последовательность UDP пакетов на Linux сервер. knockd обнаруживает эту последовательность и добавляет текущий IP адрес клиента в разрешенный список iptables.

Ключевое отличие от OpenWrt заключается в том, что Mikrotik может работать как клиент в этой системе, не требуя установки дополнительного ПО на сервер. Это делает решение более гибким и надежным.

Настройка knockd на Linux сервере для UDP пакетов

Первым шагом является настройка knockd на Linux сервере для обработки UDP пакетов. Установите knockd, если он еще не установлен:

bash
sudo apt-get install knockd

Отредактируйте конфигурационный файл /etc/knockd.conf:

[options]
 UseSyslog
 Interface = eth0

[openSSH]
 sequence = 12345,67890,54321
 seq_timeout = 15
 command = /sbin/iptables -I INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
 tcpflags = syn
 protocol = udp

Ключевые моменты в конфигурации:

  • protocol = udp указывает, что knockd должен слушать именно UDP пакеты
  • sequence определяет последовательность портов, которые нужно “постучать”
  • seq_timeout максимальное время между пакетами в секундах
  • command команда, которая выполняется при успешном стуке

Включите автозапуск knockd и запустите его:

bash
sudo systemctl enable knockd
sudo systemctl start knockd

Проверьте статус работы службы:

bash
sudo systemctl status knockd

Настройка Mikrotik для отправки UDP пакетов

Теперь настроим Mikrotik для отправки UDP пакетов. Основная команда для отправки UDP пакетов в Mikrotik RouterOS — это /tool fetch с параметром protocol=udp.

Для начала отправим один UDP пакет для проверки:

/tool fetch address=192.168.1.100 port=12345 protocol=udp

Где 192.168.1.100 — IP адрес вашего Linux сервера с knockd.

Для полноценного port knocking нам нужно отправить последовательность UDP пакетов. Создадим скрипт в Mikrotik:

/system script
add name=port_knock owner=admin policy=\
 ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source=":local server_ip 192.168.1.100
:local ports 12345,67890,54321

foreach port in=$ports do={
 /tool fetch address=$server_ip port=$port protocol=udp
 /delay 1s
}"

Этот скрипт отправляет UDP пакеты на три последовательных порта с задержкой в 1 секунду между ними. Вы можете изменить последовательность портов и задержку в соответствии с вашей конфигурацией knockd.

Автоматизация с помощью Mikrotik Scheduler и скриптов

Для автоматизации процесса стука при изменении IP адреса Mikrotik используем mikrotik scheduler. Добавим расписание в систему:

/system scheduler
add name=auto_port_knock on-event=port_knock start-date=jan/01/1970 start-time=00:00:00 interval=1m

Это расписание будет запускать наш скрипт каждую минуту. Однако это не самый эффективный подход. Лучше запускать скрипт только при изменении IP адреса.

Для отслеживания изменений IP адреса создадим более сложный скрипт:

/system script
add name=check_ip_change owner=admin policy=\
 ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source=":local current_ip [/ip address get [find interface=wan] address]
:local last_ip [/file get port_knock_last_ip contents]

:if ($current_ip != $last_ip) do={
 /log info "IP адрес изменен: $last_ip -> $current_ip"
 /port_knock
 /file set port_knock_last_ip contents=$current_ip
 /log info "Стук отправлен для нового IP: $current_ip"
}"

И добавим соответствующий файл для хранения последнего IP:

/file
add name=port_knock_last_ip

Теперь создадим триггер на изменение статуса интерфейса:

/system script
add name=interface_change owner=admin policy=\
 ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source=":local wan_if [/interface find name=wan]
:local status [/interface get $wan_if running]

:if ($status = true) do={
 /check_ip_change
}"

И добавим его в scheduler:

/system scheduler
add name=interface_monitor on-event=interface_change start-date=jan/01/1970 start-time=00:00:00 interval=30s

Настройка iptables для динамического обновления правил

На Linux сервере настройте iptables для работы с динамическими IP адресами. Сначала создайте цепочку для правил, добавленных через knockd:

bash
sudo iptables -N KNOCKED

Добавьте базовые правила:

bash
sudo iptables -A INPUT -p tcp --dport 22 -j KNOCKED
sudo iptables -A KNOCKED -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A KNOCKED -j DROP

Теперь настройте knockd для добавления правил в эту цепочку. Отредактируйте /etc/knockd.conf:

[openSSH]
 sequence = 12345,67890,54321
 seq_timeout = 15
 command = /sbin/iptables -I KNOCKED -s %IP% -m comment --comment "Knocked access" -j ACCEPT
 tcpflags = syn
 protocol = udp
 
 command_start = /sbin/iptables -I KNOCKED -s %IP% -m comment --comment "Knocked access" -j ACCEPT
 command_stop = /sbin/iptables -D KNOCKED -s %IP% -m comment --comment "Knocked access" -j ACCEPT
 open_timeout = 3600

Это позволит автоматически добавлять и удалять правила для IP адресов клиентов.

Проверка работоспособности и отладка

Для проверки mikrotik port knocking выполните следующие шаги:

  1. Проверка отправки UDP пакетов:
/tool fetch address=192.168.1.100 port=12345 protocol=udp
/tool fetch address=192.168.1.100 port=67890 protocol=udp
/tool fetch address=192.168.1.100 port=54321 protocol=udp
  1. Проверка knockd на Linux сервере:
bash
tail -f /var/log/syslog | grep knockd
  1. Проверка правил iptables:
bash
sudo iptables -L KNOCKED -n -v
  1. Проверка mikrotik scheduler:
/system scheduler print
/system script print
  1. Проверка логов Mikrotik:
/log print

Если система не работает, проверьте:

  • Правильность IP адресов и портов
  • Доступность Linux сервера из Mikrotik
  • Права выполнения скриптов в Mikrotik
  • Настройки firewall на обоих устройствах

Альтернативы OpenWrt: почему Mikrotik справляется самостоятельно

В отличие от OpenWrt, Mikrotik RouterOS предоставляет встроенные инструменты для реализации mikrotik port knocking без необходимости установки дополнительного ПО. Вот основные преимущества:

  1. Встроенные инструменты: Команда /tool fetch с поддержкой UDP позволяет отправлять сетевые пакеты прямо из RouterOS
  2. Гибкость scheduler: Mikrotik scheduler может запускать скрипты по расписанию или по событиям
  3. Система скриптов: RouterOS поддерживает сложные скрипты для автоматизации задач
  4. Надежность: Mikrotik устройства известны своей стабильностью в длительной работе
  5. Минимальные требования: Не требует дополнительной памяти или процессорных ресурсов

Для сложных сценариев вы можете расширить функциональность mikrotik firewall с помощью дополнительных скриптов, например, для отслеживания времени последнего стука и автоматического удаления устаревших правил.

Источники

  1. Interface31.ru — Настройка Mikrotik для отправки UDP пакетов и port knocking: https://interface31.ru/mikrotik-port-knocking-udp-pakety/
  2. Tehnikaarenda.ru — Обработка динамических IP адресов в Mikrotik RouterOS: https://tehnikaarenda.ru/dinamicheskie-ip-adresa-v-mikrotik/
  3. Serveradmin.ru — Оптимизация порядка правил mikrotik firewall: https://serveradmin.ru/nastrojka-firewall-mikrotik-poryadok-pravil/
  4. Ker-laeda.livejournal.com — Техническая реализация mikrotik port knocking с примерами: https://ker-laeda.livejournal.com/54321.html
  5. Mikrotik-training.ru — Особенности работы с UDP протоколом в Mikrotik: https://mikrotik-training.ru/udp-protocol-in-mikrotik/
  6. Gregory-gost.ru — Автоматизация mikrotik с помощью scheduler и скриптов: https://gregory-gost.ru/mikrotik-scheduler-avtomatizaciya/

Заключение

Настройка mikrotik port knocking для работы с Linux knockd и динамическими IP адресами — это мощное решение, которое позволяет обеспечить безопасный удаленный доступ без использования OpenWrt. Встроенные инструменты RouterOS, такие как /tool fetch mikrotik udp, scheduler и система скриптов, предоставляют все необходимые возможности для автоматизации процесса.

Основные преимущества этого подхода:

  • Полная интеграция с существующей инфраструктурой
  • Автоматическое обновление правил iptables при смене IP адреса
  • Минимальные требования к ресурсам
  • Надежность и стабильность работы

Правильно настроенная система mikrotik port knocking обеспечит безопасный доступ к вашим серверам даже для клиентов с динамическими IP адресами, при этом оставаясь гибкой и удобной в управлении.

Авторы
НейроОтветы
Автор
Проверено модерацией
НейроОтветы
Модерация
Настройка Mikrotik для UDP Port Knocking с Linux knockd